リモートバンキングシステム(RBS)のセキュリティ問題は、誰にとっても秘密ではありません。 お金がかかっている場合、情報セキュリティは特に頻繁に強度がテストされます。 リモートバンキングシステムの主な攻撃ベクトルは、安全でない環境で実行されるため、クライアントソフトウェアを対象としています。 クライアントの職場を保護するために、さまざまな方法でさまざまな方法が使用されました。 このトピックでは、RBSで使用される攻撃ツールと防御の進化について説明します。 基本的に、RBSのクライアント部分を保護する技術的な手段が考慮されます。
パスワード
最初のRBSシステムは、通常のパスワードで保護されていました。 追加の支払いパスワードが支払いに使用されることがありました。 現在、いくつかの支払いシステムで同様のスキームが使用されています。 攻撃の仕組みを説明する価値はないと思います。 キーロガーで他の人のアカウントにアクセスできました。
ファイル内の署名キー。
しばらくの間、RBシステムが表示され始め、支払いを確認するために、支払い注文の下で電子署名を生成する必要がありました。 署名を生成するためのキーは、暗号化されたファイルに保存されていました。 外部メディアに保存することをお勧めしました。 同様のスキームが一部の銀行でまだ使用されています。 攻撃パターンは異なって見え始めました。 キーを含むファイルへのパスワードもキーロガーによって傍受され、キー自体はスパイウェアによって盗まれました。
「通常の」トークンのキー。
背景情報を提供する価値があります。 ほぼすべてのトークンを2つのタイプに分けることができます。 保護されたメモリに署名用のキーのみを保存できるトークンもあれば、ハードウェアで署名キーを生成して署名操作を実行できるトークンもあるため、秘密キーがトークンから離れることはありません。 トークンの所有者でさえ、そこから秘密鍵を抽出できません。
もちろん最初は、よりシンプルなトークンオプションが登場しました。 もちろん、攻撃者の生活は複雑になりましたが、問題は解決しませんでした。 トークンの導入に応じて、特定のRBシステムを対象とした、より「賢明な」スパイウェアが出現し始めました。 このソフトウェアには、ユーザーが正当な署名操作を実行したときにコンピューターのRAMからキーを盗む機能がありました。 それから、治療法の開発は、支払いの確認の追加の手段を導入する方法に行きました。 後でこれらの資金に戻ります。
ボード上の暗号化トークン
署名キーの盗難の最後のポイントは、暗号化機能を備えたトークンを搭載することですが、これまでのところ、ほとんど配布されていません。 これには客観的な理由があります。 はい、確かに、攻撃者が署名キーを盗むことはできませんが、主な問題-リモートバンキングシステムでの金銭の盗難を阻止すること-は解決できません。 はい、彼らは盗難の数を大幅に減らすことができますが、しばらくの間だけです。 お金の盗難のスキームは、トークンが接続されている間に支払い命令の署名がユーザーのコンピューターで直接実行されるという勢いをすでに獲得しています。 これは、リモートコンピューター制御を使用するか、USB-over-IPテクノロジーを使用するか、署名時に支払い注文を置き換えることで行われます。
追加の支払い確認
追加確認の基本的な考え方は、コンピューターに依存しないデバイスを使用することです。 最も広く使用されているワンタイムパスワードはOTP(ワンタイムパスワード)です。 実装は異なる可能性があります。確認コード付きのSMSメッセージ、OTPトークン、ワンタイムパスワード付きのテーブルなどです。 ところで、SMSが時間通りに到着しないのはひどく怒っています。 :)攻撃者は、リモートバンキングシステムのシステムを攻撃する新しい方法を探す必要がありました。 このような防御メカニズムにより、純粋に技術的な攻撃方法がソーシャルエンジニアリングと組み合わされ始めました。 ワンタイムパスワードスキームを攻撃する最も一般的な方法は、フィッシングです。 ユーザーはフィッシングサイトでワンタイムパスワードを受け取り、すぐに支払いに使用します。 OTPセキュリティスキームの主な欠点は、パスワードと支払い注文の内容の間に関係がないことです。
もちろん、支払い注文のデータに基づいて確認コードを生成する方法をすでに知っている他のデバイスも従いました。 たとえば、外部デバイスでアカウント番号と支払い金額を入力し、コードを受信する必要があります。その後、コードをRBシステムに入力する必要があります。 このソリューションは非常に安全ですが、このソリューションの使いやすさはどのフレームワークにも適合しません。 写真では、そのようなデバイスの1つに対する指示があります。
1回のお支払いは引き続き可能ですが、10回ですか?
最後のきしみ
今年、リモートバンキングシステムを保護するための新しいデバイスがロシア市場に登場しました。 これらは、信頼できるデジタル署名生成デバイスです。 デバイスには、支払い情報を表示する画面と、支払いを確認して支払いを拒否するボタンが装備されています。 写真はRootoken PINPadデバイスです。
このデバイスの意味は、デバイスに入力された情報が画面に表示され、ユーザーが確認し、正しい場合はユーザーが確認し、ハードウェアでハッシュおよび署名されます。 このアプローチにより、署名時に支払い注文の代替の可能性を完全に排除でき、リモートコンピューター制御を使用して署名を作成する可能性も排除します。 このソリューションは興味深いものですが、まだ活用されていません。 実装は複数の銀行で行われています。
このようなデバイスを使用すると、スパイウェアを使用した金銭の盗難の問題を解決できると思います。 ただし、盗む技術的能力が失われた場合、ソーシャルエンジニアリングに基づく方法がより積極的に使用されます。 大多数のユーザーは情報セキュリティについて十分に理解しておらず、これはさまざまな種類の詐欺にとって良い土です。